SAML (Security Assertion Markup Language)

Le Security Assertion Markup Language (SAML) est une norme ouverte qui joue un rôle essentiel dans la gestion des identités et le contrôle d’accès. Le cadre SAML garantit l’interopérabilité et la cohérence des fonctionnalités entre différents systèmes. L’utilisation principale du SAML est la mise en œuvre de solutions d’authentification unique (SSO).

En tant que norme ouverte, le SAML est un ensemble de lignes directrices, de protocoles et de spécifications accessibles au public et développées dans le cadre d’un processus de collaboration. On le trouve dans de nombreuses bibliothèques de développement, ce qui permet aux développeurs d’intégrer plus facilement le SAML dans leurs applications. Par exemple, OpenSAML, Python-SAML et SimpleSAMLphp sont des bibliothèques de développement qui permettent d’intégrer le SAML dans Java, Python et PHP.

Bien que étroitement liés, le SAML et la SSO ne sont pas la même chose. L’authentification unique (SSO) est un processus d’authentification qui permet à un utilisateur de se connecter une seule fois et d’accéder à plusieurs applications ou services sans avoir à se connecter à nouveau pour chacun d’entre eux. Le SAML est le cadre sous-jacent qui permet l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité (IdP) et un fournisseur de services (SP).

En résumé, l’authentification unique (SSO) est un concept général qui simplifie et sécurise l’accès des utilisateurs à de multiples applications. Le SAML, quant à lui, est un cadre universel utilisé par les développeurs pour assurer la compatibilité entre l’authentification unique et d’autres implémentations de cas d’utilisation.

Le SAML comprend plusieurs composants qui se combinent pour répondre à différents cas d’utilisation.

Principal (utilisateur) : L’utilisateur qui doit accéder à un service ou à une ressource. L’utilisateur interagit avec le fournisseur de services et le fournisseur d’identité pour s’authentifier et accéder à la ressource souhaitée. Nous incluons l’utilisateur dans cette liste de composants car il permet d’illustrer le fonctionnement des autres composants SAML.

Fournisseur d’identité (IdP) : Authentifie l’utilisateur et fournit des informations sur son identité au fournisseur de services. Le fournisseur d’identité gère l’authentification et la génération d’assertions.

Fournisseur de services (SP) : Il fournit des services ou des ressources à l’utilisateur. Le fournisseur de services s’appuie sur le fournisseur d’identité pour authentifier l’utilisateur et il responsable de la demande d’authentification et de l’utilisation des assertions.

Assertions SAML : Documents XML émis par l’IdP qui contiennent des déclarations sur l’utilisateur. Il existe différentes assertions SAML, notamment des déclarations d’authentification, des déclarations d’attributs et des déclarations de décision d’autorisation.

Protocoles SAML : Ils définissent comment les demandes et les réponses SAML sont communiquées entre les entités. Les principaux protocoles SAML sont le protocole de demande d’authentification, le protocole de résolution d’artefacts et le protocole de déconnexion unique.

Liaisons SAML : Définissent la manière dont les messages du protocole SAML sont transportés entre les entités. Les liaisons courantes incluent la liaison de redirection HTTP et la liaison de publication HTTP.

Profils SAML : Ils définissent les cas d’utilisation du SAML et la manière dont les assertions, les protocoles et les liaisons SAML prennent en charge ces cas d’utilisation. Les profils courants incluent l’authentification unique (SSO) sur un navigateur Web, la déconnexion unique (SLO) et les requêtes d’attributs. 

Métadonnées SAML : Un document XML qui décrit la configuration et les capacités des fournisseurs d’identité et des fournisseurs de services SAML. Il comprend les identifiants des entités, les points de terminaison, les certificats et des informations sur les protocoles et les liaisons pris en charge.

Le SAML permet l’authentification unique en facilitant l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services. Voici une explication étape par étape de la façon dont le SAML permet l’authentification unique :

L’utilisateur demande l’accès : L’utilisateur tente d’accéder à une ressource ou à un service fourni par le fournisseur de services.

Le fournisseur de services lance une demande d’authentification : Le fournisseur de services identifie que l’utilisateur doit être authentifié et répond en générant une demande d’authentification SAML. Il s’agit généralement d’une URL codée avec des données de demande SAML.

L’utilisateur est redirigé vers le fournisseur d’identité : Le système redirige l’utilisateur vers le fournisseur d’identité, en envoyant la demande SAML de l’étape précédente. Cela peut se faire via des redirections HTTP, HTTP POST ou des artefacts.

L’utilisateur s’authentifie avec le fournisseur d’identité : Le fournisseur d’identité présente une interface d’authentification permettant à l’utilisateur de saisir ses identifiants. Le fournisseur d’identité utilise ces identifiants, généralement un nom d’utilisateur et un mot de passe, pour vérifier l’identité de l’utilisateur.

Le fournisseur d’identité génère une réponse SAML : Lorsque l’authentification est réussie, le fournisseur d’identité génère une réponse SAML, qui contient une assertion SAML. Pour garantir l’intégrité et l’authenticité, le fournisseur d’identité signe l’assertion et inclut l’identité et le statut d’authentification de l’utilisateur.

L’utilisateur est redirigé vers le fournisseur de services : L’utilisateur est redirigé vers le fournisseur de services via HTTP POST ou d’autres mécanismes. Cette redirection fournit la réponse SAML au fournisseur de services.

Le fournisseur de services valide la réponse SAML : Le fournisseur de services reçoit et vérifie la réponse SAML et extrait les informations relatives à l’identité de l’utilisateur de l’assertion SAML.

Le fournisseur de services accorde l’accès : Sur la base des informations relatives à l’identité de l’utilisateur et de l’assertion SAML, le fournisseur de services accorde l’accès au service ou à la ressource demandée. Au cours de cette étape, le système authentifie l’utilisateur et lui donne accès aux services autorisés.

La nécessité d’un mécanisme tel que le SAML a été conceptualisée à la fin des années 1990 alors que l’utilisation d’Internet s’étendait et que les propriétaires de grands réseaux souhaitaient s’authentifier auprès de différents domaines et organisations. Les gouvernements, les universités et les réseaux professionnels ont été conçus avec ou connectés par plusieurs domaines de sécurité, et les utilisateurs d’un domaine devaient souvent accéder aux ressources d’un autre. Plusieurs solutions propriétaires ont été mises au point pour résoudre ce problème, mais les experts du secteur ont reconnu le besoin croissant d’une norme universelle qui fonctionnerait pour tous les systèmes.

En 2001, l’Organization for the Advancement of Structured Information Standards (OASIS) a formé un comité technique chargé de créer un cadre XML pour cette norme universelle. Ce cadre définirait l’échange de données d’authentification et d’autorisation entre les domaines de sécurité. En novembre 2002, l’OASIS a adopté le SAML 1.0 , établissant ainsi la première norme d’échange de données d’authentification et d’autorisation entre différents domaines de sécurité. Cette version de SAML fournissait uniquement une prise en charge de base pour cet échange. En septembre 2003, l’OASIS a adopté le SAML 1.1 , qui comprenait des améliorations dans la gestion des erreurs, la mise en œuvre et l’échange de données entre les domaines. Les changements apportés à SAML dans la version 1.1 sont principalement basés sur les retours d’expérience du secteur.

Le SAML 2.0 est devenu la norme en 2005. Cette version a constitué une amélioration majeure par rapport aux versions précédentes. Elle a ajouté ou amélioré la prise en charge de nombreuses fonctionnalités actuellement utilisées. Ses principaux ajouts sont :

Amélioration de l’authentification unique (SSO) et de la déconnexion unique (SLO) : Mécanismes de SSO améliorés et plus grande flexibilité dans la manière dont l’authentification est gérée à travers plusieurs domaines. L’introduction de la déconnexion unique a permis aux utilisateurs de se déconnecter de tous les sites en une seule action.

Identité fédérée : Un système de confiance qui permet de relier les identités entre différents domaines de sécurité.

Prise en charge des métadonnées et gestion des attributs : Introduction de métadonnées pour décrire les attributs des fournisseurs d’identité, des fournisseurs de services et d’autres entités SAML. La gestion des attributs permet un échange détaillé et flexible de ces informations. 

Améliorations de la sécurité : Des algorithmes cryptographiques plus puissants et d’autres améliorations pour protéger les données échangées.

Le SAML 2.0 reste la version actuelle, et les développeurs l’ont continuellement mise à jour depuis sa publication. Ces mises à jour incluent des améliorations de la sécurité et de l’interopérabilité, des améliorations du déploiement et la prise en charge de nouveaux cas d’utilisation. L’OASIS révise périodiquement le cadre SAML 2.0 pour s’assurer qu’il reste pertinent, sûr et efficace pour la communauté.

Le SAML contribue à améliorer la productivité et l’efficacité de plusieurs manières, principalement grâce à la sécurité, à l’expérience utilisateur et à l’efficacité opérationnelle. Voici certains des principaux avantages qu’une entreprise peut retirer de sa mise en œuvre :

Authentification unique (SSO) : L’authentification unique est l’un des principaux avantages du SAML, car elle permet aux utilisateurs de se connecter une seule fois et d’accéder à plusieurs applications sans avoir à saisir plusieurs fois leurs identifiants. Cela améliore la productivité et réduit les délais liés à la connexion.

Expérience utilisateur améliorée : Moins de connexions sont nécessaires pour passer d’une application à l’autre et d’une ressource à l’autre. Ce flux de travail plus fluide et plus efficace améliore l’expérience utilisateur.

Sécurité renforcée : Le SAML renforce la sécurité en prenant en charge les communications chiffrées et les signatures numériques. Cela garantit que les données d’authentification sont transmises en toute sécurité et que le fournisseur d’identité et le fournisseur de services peuvent s’y fier.

Authentification centralisée : En centralisant l’authentification auprès d’un seul fournisseur d’identité, les entreprises peuvent appliquer des politiques de sécurité cohérentes et gérer l’accès des utilisateurs de manière plus efficace.

Réduction de la fatigue liée aux mots de passe : Le SAML réduit le nombre de mots de passe que les utilisateurs doivent retenir, ce qui permet de meilleures pratiques en matière de mots de passe et réduit le risque d’utiliser des mots de passe faibles pour de nombreux services.

Gestion simplifiée des utilisateurs : Le provisionnement et le déprovisionnement des utilisateurs deviennent plus efficaces, car les modifications apportées au système d’identité central s’appliquent à toutes les applications connectées. Ceci est utile pour l’intégration et lors du départ des employés.

Économies : Un seul ensemble d’identifiants et un environnement d’authentification unique réduisent les besoins d’assistance liés aux mots de passe et connexions. Ce besoin moindre d’assistance technique et la rationalisation du processus de gestion des utilisateurs réduisent les frais administratifs du service informatique et le coût de l’assistance informatique.

Conformité réglementaire : le SAML permet aux organisations de répondre aux exigences réglementaires en leur fournissant de solides capacités de journalisation et d’audit. Il garantit que tous les événements d’authentification sont enregistrés et peuvent être revus à des fins de conformité.

Évolutivité : Le SAML gère sans problème les déploiements de grande envergure, ce qui en fait la solution idéale pour les entreprises ayant de nombreux utilisateurs et applications. Il peut facilement évoluer pour répondre aux besoins croissants de l’entreprise.

Interopérabilité : L’adoption généralisée et la prise en charge du SAML sur un grand nombre de plateformes et systèmes permettent aux entreprises d’intégrer une variété d’applications et de services tiers, ce qui favorise la flexibilité et la collaboration.

Réduction de la charge de travail du service informatique : En déléguant l’authentification à un fournisseur d’identité central, les services informatiques peuvent réduire le temps et les efforts consacrés à la gestion des connexions aux applications individuelles, ce qui leur permet de se concentrer sur des initiatives plus stratégiques.

Amélioration de la collaboration avec les partenaires : Le SAML sécurise l’accès des partenaires externes, ce qui leur permet de collaborer et de partager des données en toute transparence, sans compromettre la sécurité de l’entreprise. Les relations commerciales s’en trouvent renforcées et l’efficacité opérationnelle améliorée.

Le SAML offre plusieurs avantages aux entreprises. Cela renforce la sécurité, améliore l’expérience utilisateur, réduit les dépenses opérationnelles et contribue à répondre aux exigences réglementaires.

Les entreprises devraient inclure le cadre SAML à leur plan de cybersécurité global pour afin de disposer de contrôles de sécurité robustes et de se conformer aux exigences réglementaires.